Indivíduos que representam ameaças estão novamente utilizando o repositório do gerenciador de pacotes Node.js (npm) para esconder softwares maliciosos, os quais têm capacidade de roubar tokens Discord com o objetivo de monitorar atividades de usuários e coletar informações na conhecida plataforma de bate-papo e colaboração, conforme revelado por pesquisadores.
Uma nova campanha foi identificada recentemente por pesquisadores da Kaspersky, na qual um logger token de código aberto está sendo ocultado juntamente com um novo malware JavaScript em pacotes npm. Conhecida como LofyLife, essa campanha tem como finalidade roubar tokens Discord e endereços IP de vítimas em sistemas infectados, conforme relatado em um post no Secure List divulgado na última quinta-feira.
Os especialistas estavam acompanhando repositórios de código aberto na terça-feira e identificaram atividades suspeitas, que consistiam em quatro pacotes contendo “código Python e JavaScript altamente encriptado” no repositório npm, conforme relatado por eles.
De acordo com os pesquisadores, o código Python foi adaptado do token logger de código aberto Volt Stealer, e um novo malware em JavaScript chamado “LofyStealer” foi desenvolvido para invadir os arquivos de usuários do Discord, permitindo que os cibercriminosos monitorem as atividades da vítima.
“Ele identifica quando um utilizador inicia sessão, atualiza o endereço de e-mail ou password, ativa/desativa a autenticação multifatorial (MFA) e acrescenta novas formas de pagamento, como os detalhes completos do cartão bancário”, afirmaram Igor Kuznetsov e Leonid Bezvershenko. “As informações codificadas também são enviadas para um terminal remoto.”
A preocupação em relação ao Npm como possível ameaça à cadeia de suprimentos.
O npm é uma plataforma de código aberto onde desenvolvedores JavaScript podem compartilhar e reutilizar trechos de código para criar diferentes aplicações web. Quando o repositório é comprometido, códigos maliciosos podem ser disseminados para os aplicativos que o utilizam, colocando em risco os usuários desses aplicativos.
Na realidade, a invasão de repositórios de código aberto pode ser uma forma bastante sigilosa para os cibercriminosos direcionarem as vulnerabilidades de aplicativos e usuários de uma só vez. Isso ficou evidente com o conhecido incidente do Log4Shell, no qual uma vulnerabilidade recém-descoberta na amplamente utilizada biblioteca de registro Java, Apache Log4j, presente em inúmeros aplicativos web, representou uma ameaça significativa à segurança da internet.
De acordo com Tim Mackey, principal estrategista de segurança do Synopsys Cybersecurity Research Center, muitas pessoas acreditam que o software fornecido por uma empresa foi totalmente aprovado por ela, quando na verdade pode conter diversas bibliotecas de terceiros, mesmo nos softwares mais simples.
Este vasto alvo não passou despercebido por indivíduos mal-intencionados, os quais estão cada vez mais direcionando seus ataques a repositórios de código aberto para ocultar malware que pode se esconder em diversas plataformas sem ser detectado.
Qualquer método de ataque capaz de impactar um grande número de alvos ou alvos de importância desperta interesse para os indivíduos que representam ameaças, de acordo com Casey Bisson, responsável pela produção e desenvolvimento de capacidades na empresa de segurança de código BluBracket, conforme mencionado em um e-mail enviado ao Threatpost.
Conflito na Mira
Npm se tornou um alvo muito atrativo para os cibercriminosos, uma vez que possui uma grande quantidade de usuários e os pacotes disponíveis para download foram baixados bilhões de vezes.
De acordo com Bisson, o Npm é amplamente utilizado por desenvolvedores do Node.js, tanto os experientes quanto os que o utilizam de forma ocasional em suas atividades. Os módulos Npm são empregados em aplicações de produção do Node.js e também em ferramentas de desenvolvimento para projetos que não seriam baseados em Node de outra forma. Esse uso generalizado entre os desenvolvedores o torna um alvo significativo.
De fato, não é a primeira vez que os atores de ameaça utilizam o npm para atingir os usuários do Discord. Em dezembro, especialistas da JFrog identificaram 17 pacotes maliciosos do npm com diversas estratégias que visavam a plataforma de comunicação virtual, a qual é utilizada por 350 milhões de usuários e possibilita a interação por meio de chamadas de voz, vídeo, mensagens e compartilhamento de arquivos.
Anteriormente, em janeiro de 2021, pesquisadores encontraram três pacotes de npm maliciosos criados pelos responsáveis pelo malware CursedGrabber, com o objetivo de capturar tokens do Discord e informações de outros usuários da plataforma.
Kaspersky, juntamente com outras empresas de segurança, está sempre atento às atualizações nos repositórios npm para assegurar a detecção e remoção de todos os novos pacotes maliciosos, afirmaram os pesquisadores.
Divulgue este artigo.
- Pontos fracos ou fragilidades.
